La casa di cura privata, come qualsiasi struttura sanitaria, ha l’obbligo di sottostare ad una serie di misure previste dal GDPR e in materiale di protezione dei dati.
Facciamo una panoramica sugli adempimenti più importanti.
Come previsto nel DPCM 27 giugno 1986, la casa di cura privata è vista come uno stabilimento sanitario gestito da privati, persone fisiche o giuridiche, che provvedono al ricovero ed – eventualmente – all’assistenza sanitaria ambulatoriale e in regime di degenza diurna di cittadini italiani e stranieri a fini di diagnosi, cura e riabilitazione.
Determinando le finalitа (es. cura del paziente) e i mezzi del trattamento (es. modalitа informatiche), la casa di cura privata opera come Titolare del trattamento dei dati (art. 4 n. 7 del GDPR). Come tale “soggetto del trattamento” la casa di cura privata deve rispettare il “principio di responsabilizzazione” di cui agli artt. 5.2 e 24 del GDPR.
Nel rispetto di tale principio, la casa di cura privata è pienamente responsabile delle scelte e delle azioni intraprese in materia di trattamento dei dati personali, e deve “darne conto” agli interessati secondo i disposti del GDPR.
Infine, in base all’art. 24 del GDPR, la casa di cura privata Titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati sia effettuato conformemente al GDPR.
Per questi motivi la casa di cura ha l’obbligo di:
– INFORMARE IL PAZIENTE:
Informare il paziente interessato circa i suoi diritti in materia di trattamento dei dati personali; e deve agevolare i diritti previsti dal GDPR nel modo più efficace possibile.
– RISPETTARE I DIRITTI DEL PAZIENTE:
Ai sensi dell’art. 15 del GDPR il paziente interessato ha il diritto di ottenere, gratuitamente dalla casa di cura privata Titolare del trattamento, la conferma che è in atto – o meno – un trattamento di dati personali che lo riguarda, di ottenere l’accesso a questi dati ed alcune informazioni giа previste (e garantite) nelle “informazioni sul trattamento dei dati”.
Ai sensi dell’art. 16 del GDPR il paziente interessato ha il diritto di ottenere la rettifica di dati personali inesatti ovvero l’integrazione di dati personali incompleti.
Ai sensi dell’art. 17 del GDPR il paziente interessato ha il diritto alla cancellazione dei suoi dati.
Come per la maggior parte delle strutture sanitarie, anche le case di cura private possono utilizzare la base giuridica di cui all’art. 9.2 lett. h) del GDPR: a norma di tale articolo, è lecito il trattamento dei dati particolari “per finalitа di medicina preventiva, medicina del lavoro, valutazione della capacitа lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale, ovvero gestione dei sistemi e servizi sanitari o sociali […] ovvero conformemente al contratto con un professionista della sanitа […]”.
– GARANTIRE UN LIVELLO DI SICUREZZA ADEGUATO AL RISCHIO:
L’art. 32 del GDPR dispone che, per approntare delle adeguate misure di sicurezza, il Titolare del trattamento – nell’ottica del principio di responsabilizzazione di cui agli Artt. 5.2 e 24 del GDPR – deve tener conto dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalitа del trattamento dei dati, nonchè del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (porre in essere, quindi, un’analisi del rischio sui dati personali trattati).
– OBBLIGO DI FORMARE IL PERSONALE AUTORIZZATO AL TRATTAMENTO DEI DATI:
Riprendendo l’art. 32 del GDPR, paragrafo 4 dispone che chiunque agisca sotto l’autoritа del Titolare del trattamento, e abbia accesso ai dati personali, non possa trattare i dati se non è istruito (quindi, adeguatamente formato).
– OBBLIGO ALLA TENUTA DEI REGISTRI ATTIVITA’:
Tutte le case di cura private sono obbligate alla tenuta dei registri delle attivitа di trattamento di cui all’art. 30 del GDPR.
Il trattamento su base permanente di dati particolari, tra i quali spiccano i dati relativi alla salute, i dati genetici e – in alcuni casi – biometrici, rende necessario l’obbligo in oggetto.
Tali registri sono tenuti in forma scritta sotto la responsabilitа del Titolare del trattamento.
– OBBLIGO DI VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI:
La Valutazione d’Impatto sulla Protezione dei Dati (DPIA), di cui agli Artt. 35 e 36 del GDPR, si configura come un’autonoma valutazione che il Titolare del trattamento pone in essere per analizzare la necessità, la proporzionalità e i rischi di un determinato trattamento dati per i diritti e le libertà delle persone fisiche.
– OBBLIGO NELLA NOMINA DI UN DPO
La casa di cura privata, tenuta obbligatoriamente alla nomina di un DPO, deve affidarsi ad un soggetto che abbia una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’art. 39 del GDPR (informare, fornire consulenza, sorvegliare l’osservanza del GDPR, sensibilizzare e formare il personale della casa di cura privata, fornire un parere sulla valutazione d’impatto, cooperare e fungere da punto di contatto con il Garante Privacy).
3
20
20